제로 트러스트를 쉽게 말하면 무엇인가요?

제로 트러스트는 접근을 매번 점검하도록 기술을 구성하는 방법입니다. 누구(사용자)인지, 어떤 장치를 사용 중인지, 무엇에 접근하려는지, 그리고 이상 징후가 있는지 여부에 따라 접근을 확인합니다.

쉽게 말하면 “가정하지 말고, 항상 확인하라”는 뜻입니다. 직원이 이메일과 급여(payroll)는 사용할 수 있지만, 서버실 카메라 시스템이나 소유자의 은행 폴더에는 접근할 수 없는 식입니다. 노트북은 최신 업데이트가 되어 있고 보호되어 있으면 연결이 허용될 수 있지만, 오래됐거나 보안 업데이트가 빠져 있거나 평소와 다른 위치에서 접속하는 경우에는 허용되지 않을 수 있습니다.

이것이 누구도 일할 수 없다는 뜻은 아닙니다. 사람들이 실제로 필요한 접근 권한을, 가장 안전한 현실적인 방식으로 받게 된다는 의미입니다. 소규모 비즈니스에서는 제로 트러스트가 하나의 큰 제품을 사는 것보다, 몇 가지 합리적인 규칙을 마련하는 데 더 가깝게 적용되는 경우가 많습니다.

많은 소규모 사업장은 여전히 오래된 가정에 기대어 운영합니다. 즉, 사무실 안에 있으면 안전하고, 비밀번호를 알고 있으면 아마도 안전하다는 전제입니다. 일이 한 건물에서 이루어지고, 몇 대의 데스크톱 컴퓨터에서 작업하던 시절에는 이 방식이 더 이해가 쉬웠습니다.

하지만 오늘날에는 사람들이 집에서 일하고, 휴대전화·노트북·태블릿, 클라우드 앱, 공유 파일을 사용합니다. 공급업체가 원격으로 로그인할 수도 있고, 소유자가 길에서 결제를 승인할 수도 있습니다. 비밀번호가 하나만 유출되거나 장치 하나가 취약해도, 넓은 접근 권한이 있으면 더 큰 문제가 생길 수 있습니다.

제로 트러스트는 이런 위험을 줄이는 데 도움이 됩니다. 실수, 탈취된 비밀번호, 감염된 장치가 퍼질 수 있는 범위를 제한할 수 있습니다. 어떤 정직한 제공업체도 “해킹 불가능한 네트워크”를 약속하지는 않지만, 더 나은 접근 규칙은 일상적인 문제를 더 작게 만들고 통제하기 쉽게 해줄 수 있습니다.

또한 기본적인 업무 규율에도 도움이 됩니다. 접근 권한이 명확하게 정리되어 있으면, 신입을 온보딩(업무 시작)하기가 쉬워지고, 누군가 퇴사하면 접근을 빠르게 제거할 수 있으며, 어떤 시스템을 어떤 사람이 사용해야 하는지 확인하기도 더 쉽습니다.

현실적인 제로 트러스트 구성은 종종 ‘신원(아이덴티티)’부터 시작합니다. 즉, 이메일, 파일, 회계, 그리고 업종별 핵심 앱에 들어가기 전에 그 사람이 누구인지 확인하는 것입니다. 흔한 단계가 MFA(멀티 팩터 인증, 다중 인증)입니다. MFA는 비밀번호 외에 코드, 앱 알림, 보안 키 같은 두 번째 증거를 요구합니다.

다음은 ‘장치 신뢰(디바이스 트러스트)’입니다. 기업은 연결을 허용하기 전에 노트북과 휴대폰이 일정 기준을 충족해야 한다고 요구할 수 있습니다. 예를 들어 장치에는 최신 업데이트, 디스크 암호화, 보안 소프트웨어가 있어야 합니다. 엔드포인트(endpoint)라는 말을 들을 수 있는데, 이는 단순히 노트북, 데스크톱, 휴대폰, 태블릿 같은 사용자의 장치를 뜻합니다.

그다음 접근은 역할(role)에 따라 제한됩니다. 직원은 자신의 업무에 필요한 최소한의 접근 권한을 받아야 합니다. 이를 흔히 ‘최소 권한 원칙(least privilege)’이라고 합니다. 회계 담당자는 운영 관리자와 같은 권한이 필요하지 않습니다. 이전 직원은 6개월이 지난 뒤에도 공유 폴더에 여전히 접근 권한이 있어서는 안 됩니다.

또 다른 요소는 지속적인 점검입니다. 여기에 패치(patching)가 포함될 수 있는데, 이는 소프트웨어와 보안 업데이트를 적용하고, 로그인 기록과 알림을 남기며, 이상한 로그인 시도를 차단하는 규칙을 두는 것을 말합니다. 일부 관리형 IT 제공업체는 EDR(엔드포인트 탐지 및 대응, endpoint detection and response)도 사용합니다. EDR은 기업 장치를 의심스러운 행동 징후로 감시하고 문제를 조사하거나 통제하는 데 도움을 주는 소프트웨어입니다.

좋은 제로 트러스트는 미로처럼 느껴지지 않아야 합니다. 팀이 일하는 방식에 맞춰 명확하고 문서화되어 있으며 현실적이어야 합니다. 직원은 어떻게 로그인하는지, MFA가 언제 필요한지, 어떤 앱을 사용할 수 있는지, 그리고 장치를 분실했거나 교체했을 때 무엇을 해야 하는지 알아야 합니다.

건강한 구성에는 보통 관리자 작업용 계정과 일반 작업 계정을 분리하고, 공유 로그인을 줄이며, 역할이 바뀔 때 접근 권한을 즉시 제거하는 절차가 포함됩니다. 급여, 은행, 고객 기록, 의료 정보 같은 민감한 시스템은 일반 공유 드라이브보다 더 엄격한 통제 조건이 있어야 합니다.

또한 ‘비즈니스에 맞게’ 구성한다는 의미도 중요합니다. 12명 규모 사무실은 200명 규모의 여러 지점을 가진 회사와 같은 구성이 필요하지 않을 수 있습니다. 요구 사항은 업종과 주(州)에 따라 다릅니다. 의료 정보를 다룬다면 HIPAA(Health Insurance Portability and Accountability Act, 건강보험 양도·책임에 관한 법) 같은 요소가 중요할 수 있습니다. 결제 카드(카드 결제)를 받는다면 PCI(PCI DSS, Payment Card Industry Data Security Standard)가 중요할 수 있습니다. 일부 고객은 SOC 2에 대해서도 물어볼 수 있는데, 이는 기업이 보안 통제(control)를 어떻게 다루는지에 대한 일반적인 보고 프레임워크입니다.

관리형 IT 제공업체(=MSP, Managed Service Provider)와 함께 작업한다면, 그들이 신원, 장치 표준, 접근 권한 검토, 오프보딩(offboarding, 퇴사 시 계정 정리)을 어떤 방식으로 접근하는지 물어보세요. 먼저 무엇을 우선 권장하는지, 무엇은 나중으로 미뤄도 되는지, 그리고 여러분의 규모에서 실제로 가능한 것이 무엇인지 확인해 보세요.

제로 트러스트는 하나의 마법 같은 제품이 아닙니다. 누군가 그렇게 소개한다면 주의하세요. 제로 트러스트는 정책, 설정, 도구, 그리고 운영 습관으로 이뤄진 전략입니다.

또한 모든 것을 차단하는 것과도 같지 않습니다. 좋은 접근은 안전성과 생산성의 균형을 맞춥니다. 팀이 예외를 계속 만들지 않으면 기본 업무도 할 수 없다면, 구성은 조정이 필요할 가능성이 큽니다.

제로 트러스트는 대기업만을 위한 것도 아닙니다. 소규모 및 중견 기업도 더 단순한 형태로 같은 기본 아이디어를 적용할 수 있습니다. 종종 첫 단계는 비교적 단순합니다. 더 강력한 로그인 규칙, 더 깔끔한 사용자 접근, 더 좋은 장치 표준, 그리고 공유 계정의 수를 줄이는 것부터 시작하는 경우가 많습니다.

옵션을 이해하려는 중이라면 더 쉬운 표현의 답변 찾아보기 또는 관리형 IT 서비스 주제 보기를 확인하세요. 독립적인 제공업체를 찾아 상담이 필요하다면 매칭 받기. NodeBridge IT는 무료 매칭 서비스입니다. 저희는 여러분의 시스템을 관리, 모니터링, 보안 처리, 수리, 또는 직접 접근하지 않습니다.